作者:郭美婷,实习生罗天恩 编辑:李润泽子
近日,Meta和爱尔兰数据监管机构(DPC)之间关于该公司跨大西洋数据共享做法的纠纷有了新进展。
据2月25日消息,DPC近日接受采访表示,Meta旗下的脸书和Instagram从欧盟到美国的数据传输可能会在今年5月被叫停,但该决定并不会同时适用于其他大型科技公司。几日前,DPC已经给Meta发布了一份关于数据传输的决定草案,预计将在4月向欧盟其他监管机构征询意见,Meta有28天的时间对此做出回应。
此事起源于2013年的一起投诉。一位来自奥地利的律师认为,脸书等公司将欧洲用户的数据转移到美国,但美国却在数据保护上力度不足,该律师以此对脸书向DPC提出投诉,后被驳回。这名律师随后上诉至爱尔兰高等法院,该案最终递交到了欧洲最高法院(CJEU)。
2020年7月,CJEU裁定欧盟与美国之间的数据传输标准不能充分保护欧洲民众的隐私。原本,跨大西洋之间的数据传输主要受名为“隐私护盾”协议支持。这项由美国商务部、欧盟委员会和瑞士政府共同设计的法律框架,要求个人数据在欧盟和瑞士向美国转移时,得到相应保护并符合法律要求。CJEU认为,美国法律赋予美国当局在没有充分保障的情况下,收集有关欧盟数据主体的个人数据的权利。同时,欧盟数据主体缺乏向美国政府寻求补救的有效手段。因此,“隐私护盾”协议最终被取消。
这促使DPC在几个月后向脸书发出初步命令,要求停止从欧盟到美国的用户数据传输行为。DPC可能会对脸书处以其年收入最高4%的罚款,若其不遵守规定,将被罚款28亿美元。
上述命令在脸书向爱尔兰高等法院提出质疑后被冻结。但在2021年5月,法院驳回脸书的诉讼请求,该命令随即恢复,脸书和DPC再次陷入谈判。
此前,脸书发出警告称,由于其业务依赖于处理用户数据来提供靶向在线广告,停止数据传输可能会对其业务造成“毁灭性”和“不可逆转”的后果。
由于Facebook和其他多家全球大型科技公司的欧盟总部都开设在爱尔兰,DPC是欧盟对这些公司的主要监管机构。当地时间2月22日,DPC向Meta发布了一份关于从欧盟向美国传输数据的决定草案,相关细节尚未公布。
“Meta有28天的时间就这一初步决定提交意见,之后我们将准备一份60条的决定草案,向欧盟其他监管机构征询意见。”一名DPC副委员说,“我预计这将在4月份发生。”
据报道,一位Meta发言人向媒体证实已收到了决定草案。“暂停数据传输不仅会损害使用我们服务的数百万欧盟个人用户、慈善机构和企业,也会损害依赖欧盟到美国的数据传输而提供全球服务的数千家其他公司。”该发言人表示,欧盟到美国的数据传输需要一个长期的解决方案,以维系用户、企业和经济体之间的联系。
事实上,Meta并非唯一一家因欧盟和美国之间缺乏数据传输协议而受到困扰的大型科技公司。1月13日,奥地利数据保护机构(DSB)公布,一家奥地利网站使用谷歌分析(Google Analytics),涉及将个人数据传输至美国,且无法提供充分的保护措施,不符合欧盟的数据保护法规。无独有偶,今年2月10日,法国数据保护机构(CNIL)也得出类似结论,认为某使用Google Analytics提供服务的网站,违反了欧盟的《通用数据保护条例》(GDPR)。